Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von MACsec

Konfigurationsübersicht

Media Access Control Security (MACsec) ist eine branchenübliche Sicherheitstechnologie, die eine sichere Kommunikation für nahezu alle Arten von Datenverkehr über Ethernet-Verbindungen ermöglicht. MACsec bietet Punkt-zu-Punkt-Sicherheit auf Ethernet-Verbindungen zwischen direkt verbundenen Knoten und ist in der Lage, die meisten Sicherheitsbedrohungen zu erkennen und zu verhindern, einschließlich Denial-of-Service-, Intrusion-, Man-in-the-Middle-, Masquerading-, passive Abhör- und Playback-Angriffe. MACsec ist in IEEE 802.1AE standardisiert.

Sie können MACsec so konfigurieren, dass Punkt-zu-Punkt-Ethernetverbindungen gesichert werden, die Switches verbinden, oder Ethernet-Verbindungen, die einen Switch mit einem Host-Gerät wie einem PC, Telefon oder Server verbinden. Jede Punkt-zu-Punkt-Ethernet-Verbindung, die Sie mit MACsec sichern möchten, muss separat konfiguriert werden. Sie können MACsec für Switch-to-Switch-Verbindungen mithilfe des dynamischen oder statischen Konnektivitätszuordnungsschlüssels (CAK)-Sicherheitsmodus aktivieren. Beide Prozesse werden in diesem Dokument beschrieben.

Informationen zur Konfiguration von MACsec auf Steuer- und Fabric-Ports unterstützter Firewalls der SRX-Serie in der Gehäuse-Cluster-Einrichtung finden Sie unter Media Access Control Security (MACsec) für Gehäuse-Cluster.

Anmerkung:

Auf Firewalls der SRX-Serie können Sie MACsec im Routing-Modus konfigurieren. MACsec wird im transparenter Modus nicht unterstützt.

Vorbereitungen

Bevor Sie MACsec aktivieren, müssen Sie sicherstellen, dass die Differenz zwischen der maximalen Übertragungseinheit (MTU) Ihres Schnittstellenmediums und der Protokoll-MTU groß genug ist, um die zusätzlichen 32 Byte MACsec-Overhead aufzunehmen.

Informationen zur Konfiguration der Schnittstellen-MTU und der Protokoll-MTU finden Sie unter Medien-MTU und Protokoll-MTU.

Konfigurieren von MACsec im statischen CAKE-Modus

Sie können MACsec über den CAK-Sicherheitsmodus (Static Connectivity Association Key) auf einer Punkt-zu-Punkt-Ethernetverbindung aktivieren, die Switches oder Router verbindet. Dabei kann es sich um eine Switch-to-Switch-, Switch-to-Router- oder Router-to-Router-Verbindung handeln.

Beste Praxis:

Es wird empfohlen, MACsec im statischen CAK-Sicherheitsmodus für Verbindungen zu aktivieren, die Switches oder Router verbinden. Der statische CAF-Sicherheitsmodus gewährleistet die Sicherheit durch häufige Aktualisierungen mit einem neuen zufälligen sicheren Zuordnungsschlüssel (SAK) und durch die gemeinsame Nutzung des SAK zwischen den beiden Geräten nur auf der MACsec-gesicherten Punkt-zu-Punkt-Verbindung.

Wenn Sie MACsec im statischen CAK-Sicherheitsmodus aktivieren, wird ein vorinstallierter Schlüssel zwischen den Geräten an beiden Enden der Punkt-zu-Punkt-Ethernet-Verbindung ausgetauscht. Der vorinstallierte Schlüssel enthält einen Konnektivitätszuordnungsnamen (Connectivity Association Name, CKN) und einen Konnektivitätszuordnungsschlüssel (Connectivity Association Key, CAK). CKN und CAK müssen manuell in der Konnektivitätszuordnung konfiguriert werden und an beiden Enden der Verbindung übereinstimmen, um MACsec anfänglich zu aktivieren.

Nachdem die vorinstallierten Schlüssel ausgetauscht und verifiziert wurden, aktiviert das MKA-Protokoll (MACsec Key Agreement) MACsec für die Verbindung. Die MKA ist für die Auswahl eines der beiden Geräte auf der Punkt-zu-Punkt-Verbindung als Schlüsselserver verantwortlich. Der Schlüsselserver erstellt dann einen zufälligen Sicherheitsschlüssel, den er über die MACsec-gesicherte Verbindung nur mit dem Peer-Gerät teilt. Der zufällige Sicherheitsschlüssel aktiviert und verwaltet MACsec auf der Punkt-zu-Punkt-Verbindung. Der Schlüsselserver erstellt weiterhin regelmäßig einen zufällig erstellten Sicherheitsschlüssel und gibt ihn für die Dauer der MACsec-Sitzung über die Punkt-zu-Punkt-Verbindung frei.

Anmerkung:

Wenn die MACsec-Sitzung aufgrund eines Verbindungsfehlers beendet wird, wählt der MKA-Schlüsselserver bei der Wiederherstellung der Verbindung einen Schlüsselserver aus und generiert einen neuen SAK.

Sie aktivieren MACsec mithilfe des statischen CAK-Sicherheitsmodus, indem Sie an beiden Enden der Verbindung eine Konnektivitätszuordnung konfigurieren. Die gesamte Konfiguration erfolgt innerhalb der Konnektivitätsverbindung, jedoch außerhalb des sicheren Kanals. Zwei sichere Kanäle – einer für eingehenden Datenverkehr und einer für ausgehenden Datenverkehr – werden automatisch erstellt, wenn der statische CAF-Sicherheitsmodus verwendet wird. Die automatisch erstellten sicheren Kanäle verfügen über keine vom Benutzer konfigurierbaren Parameter. Die gesamte Konfiguration erfolgt in der Konnektivitätszuordnung.

So konfigurieren Sie MACsec mit dem statischen CAF-Sicherheitsmodus:

  1. Erstellen Sie eine Konnektivitätszuordnung. Sie können diesen Schritt überspringen, wenn Sie eine vorhandene Konnektivitätszuordnung konfigurieren.

    Um beispielsweise eine Konnektivitätszuordnung mit dem Namen ca1zu erstellen, geben Sie Folgendes ein:

  2. Konfigurieren Sie den MACsec-Sicherheitsmodus wie static-cak für die Konnektivitätszuordnung:

    So konfigurieren Sie z. B. den MACsec-Sicherheitsmodus auf static-cak "Bei Konnektivitätszuordnung" ca1:

  3. Erstellen Sie den vorinstallierten Schlüssel, indem Sie CKN und CAK konfigurieren:

    Die direkt verbundenen Peers tauschen einen vorinstallierten Schlüssel aus, um eine MACsec-sichere Verbindung herzustellen. Der Pre-Shared Key enthält den CKN und den CAK. Die CKN ist eine 64-stellige Hexadezimalzahl und die CAK ist eine 32-stellige Hexadezimalzahl. Das CKN und das CAK müssen an beiden Enden einer Verbindung übereinstimmen, um eine MACsec-gesicherte Verbindung zu erstellen.

    Anmerkung:

    Um die Sicherheit zu maximieren, empfehlen wir, alle 64 Ziffern eines CKN und alle 32 Ziffern eines CAP zu konfigurieren.

    Wenn Sie nicht alle 64 Ziffern einer CKN oder alle 32 Ziffern einer CAP konfigurieren, werden alle verbleibenden Ziffern standardmäßig auf 0 gesetzt. Sie erhalten jedoch eine Warnmeldung, wenn Sie die Konfiguration bestätigen.

    Nachdem die vorinstallierten Schlüssel ausgetauscht und von beiden Peers auf der Verbindung überprüft wurden, aktiviert das MKA-Protokoll (MACsec Key Agreement) MACsec. Das MKA-Protokoll wählt dann einen der beiden direkt verbundenen Switches als Schlüsselserver aus. Der Schlüsselserver teilt dann eine zufällige Sicherheit mit dem anderen Gerät über die MACsec-sichere Punkt-zu-Punkt-Verbindung. Der Schlüsselserver erstellt weiterhin in regelmäßigen Abständen einen zufälligen Sicherheitsschlüssel und teilt ihn mit dem anderen Gerät über die MACsec-gesicherte Punkt-zu-Punkt-Verbindung, solange MACsec aktiviert ist.

    So konfigurieren Sie eine CKN von 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 und CAK von 228ef255aa23ff6729ee664acb66e91f bei der Konnektivitätszuordnung ca1:

    Anmerkung:

    MACsec wird erst aktiviert, wenn Sie eine Konnektivitätszuordnung an eine Schnittstelle anfügen. Weitere Informationen finden Sie im letzten Schritt dieses Verfahrens, um eine Konnektivitätszuordnung an eine Schnittstelle anzuhängen.
    Anmerkung:

    Im FIPS-Modus müssen Sie anstelle von Befehl set connectivity-association ca1 pre-shared-key cak den folgenden Befehl verwenden:

    user@host# prompt connectivity-association ca1 pre-shared-key cak
  4. (Nur bei Nicht-EX4300-Switches erforderlich, wenn eine Verbindung zu EX4300-Switches hergestellt wird) SCI-Tagging aktivieren:

    Sie müssen SCI-Tagging auf einem Switch aktivieren, der MACsec für eine Ethernet-Verbindung mit einem EX4300- oder EX4600-Switch aktiviert.

    SCI-Tags werden automatisch an Pakete angehängt, die eine MACsec-fähige Schnittstelle auf einem EX4300- oder EX4600-Switch verlassen, sodass diese Option auf diesen Switches nicht verfügbar ist.

    Sie sollten diese Option nur verwenden, wenn Sie einen Switch mit einem EX4300- oder EX4600-Switch oder mit einem Host-Gerät verbinden, für das SCI-Tagging erforderlich ist. SCI-Tags sind acht Oktette lang, sodass das Anhängen eines SCI-Tags an den gesamten Datenverkehr auf dem Link einen erheblichen unnötigen Overhead verursacht.

  5. (Optional) Legen Sie die Priorität des MKA-Schlüsselservers fest:

    Gibt die Schlüsselserverpriorität an, die vom MKA-Protokoll zur Auswahl des Schlüsselservers verwendet wird. Der Switch mit dem unteren priority-number wird als Schlüsselserver ausgewählt.

    Der Standardwert priority-number ist 16.

    Ist die key-server-priority auf beiden Seiten der Verbindung identisch, wählt das MKA-Protokoll die Schnittstelle mit der niedrigeren MAC-Adresse als Schlüsselserver aus. Wenn diese Anweisung also nicht an beiden Enden einer MACsec-gesicherten Verbindung konfiguriert ist, wird die Schnittstelle mit der niedrigeren MAC-Adresse zum Schlüsselserver.

    So ändern Sie die Priorität des Schlüsselservers auf 0, um die Wahrscheinlichkeit zu erhöhen, dass das aktuelle Gerät als Schlüsselserver ausgewählt wird, wenn MACsec auf der Schnittstelle mithilfe der Konnektivitätszuordnung ca1aktiviert ist:

    So ändern Sie die Schlüsselserverpriorität in 255, um die Wahrscheinlichkeit zu verringern, dass das aktuelle Gerät als Schlüsselserver in der Konnektivitätszuordnung ca1 ausgewählt wird:

  6. (Optional) Legen Sie das MKA-Übertragungsintervall fest:

    Die Einstellung für das MKA-Übertragungsintervall ist die Frequenz, mit der die MACsec Key Agreement Protocol Data Unit (PDU) an das angeschlossene Gerät gesendet wird, um die Verbindung aufrechtzuerhalten. Je niedriger Wert, desto höher interval wird die Kommunikation interval im MKA-Protokoll optimiert.

    Der Standardwert interval ist 2000 ms. Es wird empfohlen, das Intervall in Umgebungen mit hoher Auslastung auf 6000 ms zu erhöhen. Die Einstellungen für das Übertragungsintervall müssen an beiden Enden der Verbindung identisch sein, wenn MACsec mit dem statischen CAK-Sicherheitsmodus aktiviert ist.

    Wenn Sie z. B. das MKA-Übertragungsintervall auf 6000 ms erhöhen möchten, wenn die Konnektivitätszuordnung ca1 an eine Schnittstelle angehängt ist:

  7. (Optional) Ausschließen eines Protokolls von MACsec:

    Wenn diese Option aktiviert ist, wird MACsec für alle Pakete des angegebenen Protokolls deaktiviert, die über die Verbindung gesendet oder empfangen werden. Wenn Sie z. B. nicht möchten, dass LLDP (Link Level Discovery Protocol) mit MACsec gesichert wird, gehen Sie wie folgt vor:

    Wenn diese Option aktiviert ist, wird MACsec für alle Pakete des angegebenen Protokolls (in diesem Fall LLDP) deaktiviert, die über die Verbindung gesendet oder empfangen werden. Sie können diese Option verwenden, um zuzulassen, dass der Steuerdatenverkehr für einige Protokolle die MACsec-gesicherte Verbindung ohne MACsec-Tags passiert. Dadurch wird die Interoperabilität mit Geräten wie IP-Telefonen gewährleistet, die MACsec nicht unterstützen.

  8. Weisen Sie die Konnektivitätszuordnung einer Schnittstelle zu:

    Gehen Sie beispielsweise wie folgt vor, um der Schnittstelle xe-0/0/1 die Konnektivitätszuordnung ca1 zuzuweisen:

    Verwenden Sie den folgenden Befehl, um einer logischen Schnittstelle eine Konnektivitätszuordnung zuzuweisen:

    Anmerkung:

    Beim Zuweisen einer CA zu einer logischen Schnittstelle gelten die folgenden Einschränkungen:

    • Die Konfiguration einer Zertifizierungsstelle auf einer physischen Schnittstelle und einer logischen Schnittstelle schließt sich gegenseitig aus.

    • Logische Schnittstellen mit einer nativen VLAN-Konfiguration unterstützen MACsec nicht.

    • Logische aggregierte Schnittstellen unterstützen MACsec nicht.

    Anmerkung:

    Bei einem EX4300-Uplink-Modul bestimmt der erste Transceiver, der an das Uplink-Modul angeschlossen ist, den PIC-Modus, da der PIC den SFP-Typ erkennt und alle Ports entweder als ge- oder xe- programmiert. Stellen Sie sicher, dass die MACsec-Konfiguration auf der Schnittstelle mit der Verbindungsgeschwindigkeit für die Uplink-Modulports übereinstimmt.

    Das Zuweisen der Konnektivitätszuordnung zu einer Schnittstelle ist der letzte Konfigurationsschritt zum Aktivieren von MACsec auf einer Schnittstelle.

MACsec mit dem statischen CAF-Sicherheitsmodus ist aktiviert, wenn auch eine Konnektivitätszuordnung am gegenüberliegenden Ende der Verbindung konfiguriert ist. Die Konnektivitätszuordnung muss vorinstallierte Schlüssel enthalten, die an beiden Enden der Verbindung übereinstimmen.

Siehe auch

Konfigurieren von MACsec im dynamischen CAKE-Modus

Im dynamischen CAK-Modus generieren die Peer-Knoten auf der MACsec-Verbindung die Sicherheitsschlüssel dynamisch als Teil des 802.1X-Authentifizierungsprozesses. Sie können den dynamischen UCK-Modus verwenden, um eine Punkt-zu-Punkt-Verbindung zwischen Switches oder Routern zu sichern. Dabei kann es sich um eine Switch-to-Switch-, Switch-to-Router- oder Router-zu-Router-Verbindung handeln. Die Geräte müssen sowohl als Authentifikator als auch als Supplicant für die 802.1X-Authentifizierung fungieren, damit sie sich gegenseitig authentifizieren können.

Der dynamische CAF-Modus bietet eine einfachere Verwaltung als der statische UCK-Modus, da die Schlüssel nicht manuell konfiguriert werden müssen. Außerdem können die Schlüssel zentral vom RADIUS-Server aus verwaltet werden. Der statische CAK-Modus bietet jedoch mehr Funktionen.

Anmerkung:

Der dynamische UCK-Modus wird auf logischen Schnittstellen nicht unterstützt.

Das folgende Verfahren dient zum Konfigurieren des dynamischen CAF-Modus für Verbindungen zwischen Switches oder Routern. Informationen zum Konfigurieren des dynamischen UCK-Modus für Switch-to-Host-Verbindungen finden Sie unter Konfigurieren von MACsec zum Sichern einer Switch-to-Host-Verbindung.

Bevor Sie mit der Aktivierung von MACsec im dynamischen UCK-Modus beginnen, müssen Sie einen RADIUS-Server konfigurieren. Der RADIUS-Server:

  • Muss mit einem serverseitigen Zertifikat konfiguriert werden.

  • Es muss das EAP-TLS-Authentifizierungsframework (Extensible Authentication Protocol-Transportschicht Security) verwendet werden.

Informationen zum Konfigurieren des RADIUS-Servers finden Sie unter RADIUS-Serverkonfiguration für die Authentifizierung.

Konfigurieren der Konnektivitätszuordnung

  1. Erstellen Sie eine Konnektivitätszuordnung. Sie können diesen Schritt überspringen, wenn Sie eine vorhandene Konnektivitätszuordnung konfigurieren.

    Um beispielsweise eine Konnektivitätszuordnung mit dem Namen ca1zu erstellen, geben Sie Folgendes ein:

  2. Konfigurieren Sie den MACsec-Sicherheitsmodus wie dynamic für die Konnektivitätszuordnung:

    So konfigurieren Sie z. B. den MACsec-Sicherheitsmodus auf dynamic "Bei Konnektivitätszuordnung" ca1:

  3. Weisen Sie die Konnektivitätszuordnung einer Schnittstelle zu:

    Gehen Sie beispielsweise wie folgt vor, um der Schnittstelle xe-0/0/1 die Konnektivitätszuordnung ca1 zuzuweisen:

Konfigurieren von Zertifikaten

Sie müssen jeder Supplicant-Schnittstelle ein lokales Zertifikat und ein CA-Zertifikat (Certificate Authority) zuweisen. Der Supplicant und der RADIUS-Server authentifizieren sich gegenseitig, indem sie Anmeldeinformationen für Zertifikate austauschen. Das lokale Zertifikat und das Serverzertifikat müssen von derselben Zertifizierungsstelle signiert werden. Sie können die Zertifikate lokal mithilfe von PKI (Public Key Infrastructure) generieren oder remote generierte Zertifikate laden.

Lokales Generieren von Zertifikaten

So generieren Sie ein CA-Zertifikat:

  1. Konfigurieren Sie das CA-Profil:
  2. Sperrprüfung deaktivieren:
  3. Registrieren Sie das Zertifikat bei der Zertifizierungsstelle:

So generieren Sie ein lokales Zertifikat:

  1. Generieren Sie ein öffentlich-privates Schlüsselpaar:
  2. Generieren und registrieren Sie das lokale Zertifikat mithilfe des Simple Certificate Enrollment Protocol (SCEP):

Laden von remote generierten Zertifikaten

So laden Sie remote generierte Zertifikate:

  1. Laden Sie das CA-Profil:
  2. Laden Sie das lokale Zertifikat:

Konfigurieren der 802.1X-Authentifizierung

Konfigurieren Sie die 802.1X-Authentifizierung mit EAP-TLS an den Schnittstellen an beiden Enden der Punkt-zu-Punkt-Verbindung. Die Schnittstellen müssen sowohl als Authentifikatoren als auch als Supplicants fungieren, damit sich die Geräte gegenseitig authentifizieren können.

  1. Konfigurieren Sie die Schnittstelle als Authentifikator mit der Option "Keine erneute Authentifizierung":
  2. Konfigurieren Sie die Schnittstelle als Supplicant.
  3. Konfigurieren Sie die Authentifizierungsmethode als EAP-TLS:
  4. Weisen Sie der Schnittstelle ein lokales Zertifikat zu:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
16.1R2
Ab Junos OS Version 16.1R2 ist die Funktion zur Steuerung des Datenstroms der Schnittstelle standardmäßig aktiviert, wenn MACsec (Media Access Control Security) für eine Schnittstelle aktiviert ist, unabhängig von der Konfiguration, die Sie mit der (flow-control | no-flow-control) Anweisung auf Hierarchieebene [edit interfaces interface- name gigether-options] festgelegt haben. Wenn MACsec aktiviert ist, werden dem Paket durch den MACsec-PHY zusätzliche Header-Bytes hinzugefügt. Wenn bei Datenverkehr mit Leitungsgeschwindigkeit MACsec aktiviert und die Flusssteuerung deaktiviert ist, werden die vom MACsec-PHY gesendeten Pause-Frames vom MAC des MIC (erweiterte Gigabit-Ethernet-MICs mit 20 Ports bei Routern der MX-Serie) beendet und nicht an die Packet Forwarding Engine übertragen, was zu Framing-Fehlern führt. Wenn MACsec auf einer Schnittstelle aktiviert ist, wird daher automatisch auch die Datenstromsteuerung auf einer solchen Schnittstelle aktiviert.
15.1
Ab Junos OS Version 15.1 können Sie MACsec so konfigurieren, dass Punkt-zu-Punkt-Ethernetverbindungen gesichert werden, die Router der MX-Serie mit MACsec-fähigen MICs verbinden, oder Ethernet-Verbindungen, die einen Switch mit einem Host-Gerät wie einem PC, Telefon oder Server verbinden.